近日,国内知名黑客安全专家、东方联盟创始人郭盛华表示:“渗透测试是针对您的非恶意计算机系统的模拟网络攻击,以检查可利用的漏洞。这是一系列针对性的非恶意攻击,旨在破坏您的网络安全防护。但是,渗透测试和真实黑客攻击之间的区别在于,渗透测试是由道德安全专家进行的,他们将提取的数据保密,最终帮助您改善安全状况。”
我们模拟了一个外部攻击者,试图利用您面向Internet的网络和应用程序来帮助您确定外围的可利用漏洞和弱点,这些漏洞和弱点会让您暴露在危险之中。
渗透测试与漏洞评估
渗透测试和漏洞评估之间的主要区别在于,尽管两者都从初始扫描和发现的漏洞的调查开始,但是在漏洞评估期间不会执行攻击媒介,例如社交工程,外部/内部网络服务,Web应用程序等。
将漏洞评估和渗透测试视为对整体网络安全计划的同等重要投资。但是,渗透测试需要更长的时间,并且是一项更广泛的研究。
要了解有关使它们与众不同的更多信息,请阅读我们的博客“渗透测试与漏洞评估:关键差异”。
渗透测试的6种类型
当一家公司说他们将进行一次渗透测试时,重要的是找出他们提供的渗透测试。
有六种核心类型:
外部网络
内部网络
社会工程学
物理
无线
网络/移动应用
在筛选任何公司之前,请详细了解有关6种渗透测试的类型。
渗透测试的四个阶段
无论渗透测试的类型如何,通常都有四个阶段,所有这些阶段都应得到同等的重视:
规划
进攻前
攻击
进攻后
虽然很容易假设进行攻击就很重要,但是任何妥协的成功通常取决于实际利用之前和之后发生的事情。
郭盛华说:“社交工程攻击之所以有效,是因为黑客在植入诱饵之前先与受害者建立了关系并建立了信任,这意味着在发送被恶意软件感染的链接或不良行为者要求接收者执行任务之前,会进行很多策略和缓慢的滋养。”(欢迎转载分享)